Mise à jour le 4 juillet : OpenAI a distribué une mise à jour pour son application, elle chiffre désormais les conversations avec l'assistant.
Article du 2 juillet
Au mois de mai, OpenAI a lancé une véritable application ChatGPT pour macOS permettant de rapidement invoquer l’assistant ou encore de facilement lui envoyer des fichiers. La partie sécurité a visiblement été pensée à la va-vite : un développeur a remarqué que l’app n’était pas sandboxée et que toutes les conversations étaient stockées en clair sur la machine.
Les conversations sont en effet enregistrées dans le dossier ~/Library/Application Support/com.openai.chat au format .data. Si les discussions ne sont pas lisibles facilement en ouvrant le fichier dans un traitement de texte, les différends « prompt » sont bien trouvables en clair au milieu de caractères en vrac. Le dossier où tout cela est enregistré n’est pas sécurisé, ce qui fait que n’importe quel logiciel malveillant peut y avoir accès sans avoir à demander la permission de l’utilisateur. Il n’est pas très compliqué de monter un petit programme permettant d’extraire les conversations, comme l’a montré le développeur Pedro José Pereira Vieito sur Mastodon.
Dans son post, il précise qu’Apple a bloqué l’accès aux données privées de l’utilisateur depuis macOS Mojave 10.14, sorti il y a maintenant 6 ans. Toute application cherchant l’accès aux données privées (Calendrier, Contact, Mail…) doit demander un accès explicite. « OpenAI a choisi de ne pas utiliser la sandbox et de stocker les conversations en clair dans un emplacement non protégé, désactivant ainsi toutes ces sécurités intégrées », ajoute-t-il. L’app ChatGPT est disponible sur les Mac Apple Silicon et peut être téléchargée depuis le site d’OpenAI.
